Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU

Fondamentaux de la Sécurité Nouveautés Sécurité Vista UAC Audit Renforcé Pare-Feu

Reprise des Fonctionnalités de Sécurité de Windows Vista Fondations Windows Vista Reprise des Fonctionnalités de Sécurité de Windows Vista Code Sécurisé dès la conception Protection du Système UAC – User Account Control

Amélioration de l’auditing Apport de Windows 7 UAC optimisé Audit Amélioré User Account Control Amélioration de l’auditing

Pourquoi UAC ? Le défaut avec Windows XP et versions antérieures Tout exécuter comme administrateur Le défaut avec Windows XP et versions antérieures Commode : l’utilisateur peut faire n’importe quoi, tout de suite ! Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout de suite ! User Account Control Introduit avec Windows Vista Séparation des privilèges et des tâches que peut réaliser l’utilisateur standard de ceux qui nécessitent un accès administrateur Augmentation de la sécurité en vous permettant de faire de l’utilisateur standard l’utilisateur par défaut pour une utilisation quotidienne Une nouvelles idée puissante mais qui va mettre du temps à faire son chemin…

Un changement de paradigme pour Windows Les utilisateurs Unix ont connu un tel fonctionnement depuis le commencement Ne lisez jamais votre mail ou ne naviguez jamais sur le Web comme root Le système encourage à cela ; si vous lisez un mail comme root, vous lisez le mail de root au lieu de votre propre mail… L’écosystème Windows doit s’adapter Les utilisateurs ont besoin de comprendre que certains changements du système nécessitent l’utilisation de privilèges pour une bonne raison Les applications ont besoin de ne pas faire des opérations privilégiées pour un oui ou pour un non, par exemple modifier les clés de la base de registre de l’OS

Les types d'utilisateurs Windows Hors service par défaut avec Vista L’administrateur Le compte nommé ‘Administrateur’ Un administrateur Votre nom avec des privilèges d’administration Administrateur protégé Votre nom avec un accès aisé aux privilèges admin Utilisateur Standard Votre nom sans privilèges admin Le défaut pour XP Nouveau avec Vista – Le défaut Le plus sécurisé – Meilleur choix IT

Administrateur protégé - Vista Fournit un accès commode aux privilèges administrateur Demande de consentement pour élever les privilèges Passage à un bureau protégé afin d’éviter les attaques en usurpation de la demande de consentement elle-même Utilisation du jeton administrateur embarqué au sein du processus pour gagner l’accès aux privilèges d’administration

Elévation de privilèges pour l'utilisateur standard – Vista Confirmation dite « Over the Shoulder » (OTS) Vous fait passer dans un bureau protégé afin d’éviter les attaques contre le dialogue de confirmation Vous demande un mode passe pour un compte administrateur OTS présuppose qu’une autre personne détient le mot de passe administrateur Mot de passe requis – l’utilisateur standard ne dispose pas d’un jeton administrateur au sein de son processus

Que sont ces élévations ? Certaines sont nécessaires Installer ou désinstaller du logiciel Changer le paramétrage du pare-feu Changer l’heure et la date du système On ne veut pas qu’un malware puisse nuire sans consentement Certaines ne sont pas si nécessaires Utilisation par les applications de clés inappropriées de la base de registre Changement d’une time zone Visualiser le paramétrage du système

La fatigue induite par des consentements trop nombreux… Les utilisateurs expriment souvent leur frustration avec les demandes de consentement UAC Que veut dire « trop nombreux » ? Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule est déjà trop… Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que cela me poserait problème si un malware faisait cela derrière mon dos ? » Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait que certaines opérations nécessitent des privilèges Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela soit vraiment nécessaire

Amélioration des applications au cours du temps

UAC Windows 7 Windows Vista Windows 7 Le système fonctionne pour un utilisateur standard Tous les utilisateurs, y compris les administrateurs protégés tournent sans privilèges d’administration par défaut Les administrateurs utilisent les pleins privilèges uniquement pour les taches administratives ou les applications qui en ont besoin Défis L’utilisateur doit fournir un consentement explicite avant d’élever ses privilèges Mettre hors service UAC supprime les protections, pas seulement la demande de consentement Rationalise UAC Réduit le nombre d’applications de l’OS et de tâches qui requièrent une élévation Refactorise les applications en éléments nécessitant une élévation/ne le nécessitant pas Comportement flexible de la demande de consentement pour les administrateurs Apport pour les utilisateurs Les utilisateurs peuvent faire davantage de choses comme un utilisateur standard Les administrateurs verront moins de demandes de consentement d’élévation par UAC

Les niveaux possibles de confirmation d’UAC High (Le plus sécurisé) Demande confirmation pour toutes les actions d’élévation Medium High Le bureau sécurisé est mis hors service Medium Ne demande pas de confirmation pour les binaires Windows Bloque toujours les élévations des binaires Windows avec des appelants de niveau d’intégrité basse (ex : navigateurs) Demande confirmation pour tous les binaires tiers Low (le moins sécurisé) UAC s’exécute en mode silencieux (la politique existe avec Vista) Ne demande confirmation que pour les binaires bloqués Ceci laisse le mode protégé d’IE en service

Réglage de l’UAC Panneau de configuration\Système et sécurité\Centre de maintenance

Demonstration

UAC et version bêta de Windows 7 A partir de la RC Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut niveau d’intégrité et requerra donc une élévation de privilèges Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de SendKeys et des équivalents puissent fonctionner  Le changement du niveau d’UAC nécessitera un consentement explicite

Audit Windows Vista Windows 7 Amélioration de l’auditing Nouveaux événements basés XML Support d’un auditing à grain fin des l’utilisation des privilèges d’administration Filtrage simplifié du « bruit » pour trouver l’événement que l’on recherche Liaison des tâches avec les événements Configuration simplifiée pour un TCO plus bas Possibilité de démontrer pourquoi une personne a eu accès à une information spécifique Possibilité de comprendre pourquoi une personne s’est vue refuser l’accès à une information spécifique Possibilité de tracer tous les changements effectués par des personnes spécifiques ou des groupes La configuration d’un auditing granulaire est complexe Auditer l’accès et les privilèges pour un groupe d’utilisateurs est problématique Les défis

Les principales raisons pour auditer Conformité réglementaire SOX : protéger les données financières HIPAA : protéger les données patients/médicales PCI : protéger les cartes de crédit/les données des clients … Surveillance de la sécurité Activité système, utilisateur et données Investigations/Analyses légales Qui, Quoi, Quand, Où, Comment, Pourquoi ?

Politique d'audit Pourquoi a-t-on besoin d’une politique d’audit ? Quelles sont les activités/les événements qui intéressent l’entreprise ? Pourquoi n’enregistre-t-on pas tout ? Coûteux : Générer, collecter et stocker les événements Utilisation de ressources : CPU, disque, etc. Métiers Opérations Conformité Budget Architectes sécurité Politique d’audit Besoins légaux Besoins RH Administrateur …

Politique d’audit avec Windows XP Politique d’audit XP/Windows Server 2003 9 catégories d’audit Problèmes Taille limitée du journal d’événement (300 MO) Faible granularité Les événements de faible et de grand volume appartiennent à la même catégorie

Politique d'audit Windows Vista Taille configurable du journal d’événement Politique d’Audit Granulaires (PAG) 9 catégories et ~50 sous-catégories Windows Vista Windows 2003

Les limites de la politique d'audit avec Windows Vista PAG non intégré avec les politiques de groupe Uniquement déployé avec des scripts de logon grâce à auditpol.exe : http://support.microsoft.com/kb/921469 L’administrateur crée un fichier de politique auditpol /set /subcategory:"user account management" /success:enable /failure:enable ... auditpol /backup /file:auditpolicy.txt La politique est appliquée pendant le logon xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* auditpol /restore /file:auditpolicy.txt

Politique d'audit avec Windows 7 Intégration de PAG avec les PG Création des politiques de groupe granulaires Expérience de la console d’administration des politiques des groupes Modélisation Déploiement Fusion de politique pour des environnements complexes Politiques d’audit par domaine, site ou OU Rapports pour conformité et diagnostics Gestion centralisée

Les données d'audit avec Windows Vista Politique d’audit Ouvrir Document WinWord Ouvrir fichier Contexte utilisateur et objet Noyau Security Descriptor DACL Access Control NTFS Audit Module SACL Journal événements de sécurité

Activités relatives aux données d'audit avec Vista – Problèmes Large écart entre les règles métiers et les politiques d’audit Exemples : Conformité SOX : « tracer toutes les acticités du groupe administrateur sur les serveurs avec des informations financières » Légal : « tracer tous les fichiers accédés par des employés suspects » Configuration Chaque objet (fichier, répertoire, clé de registre) dans le système a la bonne SACL On peut utiliser des modèles de sécurité mais : La propagation est coûteuse L’unité maximale de configuration est un disque ou une ruche de la base de registre Il est à peu près impossible de revenir en arrière Rapport Pour la conformité : comment prouver qu’un activité donnée est tracée ?

Activités relatives aux données d'audit avec Windows 7 – Global Access Object Auditing Application d’une SACL sur un gestionnaire de ressource entier Système de fichiers Base de registre Politique d’audit SACL ressource Ouvrir Document WinWord Ouvrir fichier Contexte utilisateur et objet Noyau SACL système de fichiers Security Descriptor DACL Access Control NTFS Audit Module SACL Journal d’évènement sécurité

Activités relatives aux données d'audit avec Windows 7 – Global Access Object Auditing On ne peut passer outre sur des objets individuels Les SACL de ressources s’appliquent à tous les objets Pas de besoin de propagation de SACL La mise à exécution est dynamique Facile à défaire et à mettre à jour Rapport aisé pour la conformité Conformité SOX : «  tracer toutes les activité du groupe administrateur sur les serveurs disposant d’informations financières »

Activités relatives aux données d'audit avec Windows 7 – Raison pour accéder Pierre a mis à jour jan2009_sales.xls Comment en a-t-il obtenu la permission ??? Politique d’audit SACL ressource Ouvrir Document WinWord Ouvrir fichier Contexte utilisateur et objet Noyau SACL système de fichiers Access Control Security Descriptor DACL NTFS Raison d’accès SACL Audit Module Journal d’évènement sécurité

Activités relatives aux données d'audit avec Windows 7 – Raison pour accéder Requête d’accès dans un événement Open Handle avant Windows 7 A handle to an object was requested. Subject: Security ID: CONTOSO-DEMO\Pierre Account Name: Pete Account Domain: CONTOSO-DEMO Logon ID: 0x352af Object: Object Server: Security Object Type: File Object Name: C:\Sales\jan2009_sales.xls Handle ID: 0x120 Process Information: Process ID: 0x1a7c Process Name: C:\Program Files (x86)\Microsoft Office\Office12\excel.exe Access Request Information: Transaction ID: {00000000-0000-0000-0000-000000000000} Accesses: READ_CONTROL SYNCHRONIZE ReadData (or ListDirectory) WriteData (or AddFile) AppendData (or AddSubdirectory or CreatePipeInstance) ReadEA WriteEA ReadAttributes WriteAttributes Access Reasons: READ_CONTROL: Granted by Ownership SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435) ReadData (or ListDirectory): Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435) WriteData (or AddFile): Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435) AppendData (or AddSubdirectory or CreatePipeInstance): Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435) ReadEA: Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435) WriteEA: Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435) ReadAttributes: Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435) WriteAttributes: Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435) Raisons d’accès événement Open Handle Windows 7

Sécuriser les accès depuis n’importe où 3/30/2017 12:58 AM Sécurité réseau Network Access Protection DirectAccessTM Segmentation du réseau fondée sur des politiques pour des réseaux plus sécurisés et isolés logiquement Différents profils de pare- feu actifs Support de DNSSEC Assurer que seules les machines en « bonne santé » peuvent accéder aux données de l’entreprise Permettre aux machines « en mauvaise santé » de se « réparer » avant d’avoir accès Connexion sécurisée, sans couture et toujours disponible au réseau d’entreprise Amélioration de la gestion des utilisateurs distants Sécurité cohérente pour tous les scénarios d’accès © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Audit de l’Accès Global aux Fichiers Amélioration de l’auditing Audit de l’Accès Global Possibilité de déterminer quels sont les fichiers consultés par un groupe d’utilisateurs sur l’ensemble du SI.

Demonstration

Introduction au pare-feu Windows Panneau de contrôle du pare-feu Windows Configuration destinée à l’utilisateur final Permet une gestion facile Profils des emplacements réseau et du pare-feu Public : Hot Spots publics tels que les aéroports ou les cafés Maison ou Bureau (Privé) : Réseau d’une petite entreprise ou à la maison Domaine : Détecté automatiquement

Paneau de contrôle pare-feu Vista Panneau de contrôle pare-feu Windows 7 Paneau de contrôle pare-feu Vista Seul un profil est actif à un instant donné Plusieurs réseaux : le profil le plus sécurisé est appliqué (le plus restrictif) Plusieurs profils de pare-feu actifs Plusieurs profils actifs en même temps

En résumé Vista : Un seul profil de pare-feu actif Règles obligatoires en fonction de l’emplacement réseau le plus restrictif Contournement administrateur encombrant pour les scénarios VPN Windows 7 : Plusieurs profils de pare-feu actifs Règles obligatoires en fonction des emplacements réseau respectifs Résout les difficultés de déploiement lors de scénario VPN

Vista : Page des programmes autorisés Windows 7 : Page des programmes autorisés Amélioration quand on est connecté à un seul ou à pluisieurs réseaux L’IHM ne liste que les paramétrages du profil courant

Vista : Paramétrage du pare-feu Windows 7 : Paramétrage du pare-feu

Notification applicative Vista : Seul le profil courant est affiché Windows 7 : L’utilisateur peut autoriser les programmes pour tous les réseaux et éviter ainsi les demandes de consentement

Windows 7 : Liens additionnels Nouveaux liens vers : Advanced settings and Troubleshoot network Restauration du paramétrage par défaut Troubleshooting

Windows Firewall with Advanced Security (WFAS) Accédé à travers Le bouton Advanced settings dans le panneau de contrôle du pare-feu MMC=> Snap-in Add Windows Firewall with Advanced Security Configurer le pare-feu en utilisant WFAS : En local Ordinateurs distants Politique de groupe (GPO) Supporte plusieurs profils actifs de pare-feu Supporte des règles granulaires (en entrée et en sortie)

Règles du pare-feu – ordre de précédance Ordre d’évaluation Evitement authentifié Bloquer Autoriser Action par défaut Action par défaut en entrant – bloque pour tous les profils Action par défaut en sortant – autorisé pour tous les profils

Page d'accueil WFAS Gestion intégrée du pare-feu et des politiques de sécurité des connexions (IPsec) Affiche quels profils et leurs réseaux associés sont actifs

Filtrage sortant WFAS – Peut être mis en service

Support WFAS pour les exceptions utilisateur et ordinateur Ajoute la possibilité de dénier l’accès des utilisateurs ou des ordinateurs (et les security principals) aux applications à travers les règles du pare-feu

Configuration WFAS pour les plages de ports Maintenant support des plages de ports dans les règles du pare-feu Vista et Windows Server 2008 ne supportaient qu’une liste de ports séparés par des virgules

Page de surveillance WFAS Le mode de surveillance affiche l’état courant du pare-feu et les règles actives à n’importe quel instant

Coexistence avec un pare-feu tiers Permet aux applications tierces de prendre le contrôle et de gérer des portions du pare-feu Windows Politique du pare-feu Politique IPsec Politique au moment de l’amorçage Renforcement des services Windows Nouvelles API publiques pour les fournisseurs de pare-feu

Les logs opérationnels Pare-feu : Ouvrir event viewer  Applications and Services LogsMicrosoftWindowsWindows Firewall with Advanced Security  Firewall Sécurité des connexions : Open event viewer Applications and Services LogsMicrosoftWindowsWindows Firewall with Advanced Security ConectionSecurity

Au-delà des Frontières de l’Entreprise Sécurité Réseau NAP Direct Access

Qu’est-ce que Direct Access ? Une solution complète d’accès depuis n’importe quel lieu disponible au sein de Windows 7 et Windows Server 2008 R2 Fournit une connectivité sans couture, toujours disponible et sécurisée aux utilisateurs au sein de l’entreprise comme aux utilisateurs distants Elimine le besoin de se connecter de manière explicite au réseau corporate quand on est à distance Facilite une communication et une collaboration sécurisée, de bout en bout Tire parti d’une approche d’accès au réseau fondée sur des politiques Permet à l’informatique de servir/sécuriser/provisionner des PC portables, qu’ils soient à l’intérieur ou à l’extérieur du réseau

Tunnel au-dessus de IPv4 UDP, TLS, etc. Direct Access IPsec/IPv6 Internet Client conforme Client conforme Serveurs NAP / NPS IPsec/IPv6 Tunnel au-dessus de IPv4 UDP, TLS, etc. IPsec/IPv6 Serveur de prévention des DoS (Futur : UAG) Présuppose que le réseau sous-jacent est toujours non sécurisé Utilisateur ENTREPRISE Redéfinit la frontière du réseau ENTREPRISE pour isoler les Datacenter et les ressources métier critiques Data Center et ressources critiques Utilisateur ENTREPRISE Réseau ENTREPRISE conforme

Tunnel au-dessus de IPv4 UDP, TLS, etc. Direct Access IPsec/IPv6 Internet Client conforme Client conforme Serveurs NAP / NPS IPsec/IPv6 Tunnel au-dessus de IPv4 UDP, TLS, etc. IPsec/IPv6 Serveur de prévention des DoS (Futur : UAG) Présuppose que le réseau sous-jacent est toujours non sécurisé Utilisateur ENTREPRISE Redéfinit la frontière du réseau ENTREPRISE pour isoler les Data center et les ressources métier critiques Data Center et ressources critiques Utilisateur ENTREPRISE Réseau ENTREPRISE conforme

Direct Access Permet l’accès aux ressources du réseau d’entreprise sans le besoin d’établir une connexion VPN. Invisible pour l’utilisateur final Deux scénarios de base : (1) Déploiement de VPN sans couture :

Direct Access (suite) (2) Scénario de déploiement de VPN routé :

Les bénéfices de Direct Access Apporter le réseau de l’entreprise à l’utilisateur Plus de productivité Plus de sécurité Plus facile à gérer à meilleur coût Accès permanent au réseau de l’entreprise alors qu’on est en déplacement Pas d’action explicite de l’utilisateur – « it just works » Même expérience utilisateur au sein des murs de l’entreprise et en dehors Terminal en bonne santé et digne de confiance quel que soit le réseau Contrôle à « grain fin » des politiques par application et serveurs Politique de contrôle plus riche et proche du terminal à gérer Possibilité d’étendre la conformité réglementaire aux PC en mouvement permanent Chemin de déploiement incrémental vers IPv6 Gestion à distance simplifiée des ressources mobiles comme si elles étaient sur le LAN Meilleurs coûts de possession total (TCO) avec une infrastructure « toujours gérée » Accès sécurisé unifié pour tous les scénarios et tous les réseaux Administration intégrée de tous les mécanismes de connexion

Les besoins pour le déploiement de Direct Access Des clients Windows 7 Un serveur Direct Access Windows Server 2008 R2 Serveurs d’application Windows Server 2008 Exception : Quand la politique d’authentification du pare-feu Windows est utilisée, les serveurs d’application doivent être Windows Server 2008 R2 Serveurs DC/DNS Exception : Quand une authentification à deux facteurs est requise pour une authentification de bout en bout, il faut un AD fondé sur Windows Server 2008 R2 Un serveur NAT-PT est nécessaire si un accès IPv4 est désiré

Les technologies supportant Direct Access Réseau d’entreprise Machine digne de confiance, conforme et en bonne santé DC & DNS (Windows 2008) Applications et données Client Windows 7 NAP (comprend Serveur & isolation de domaine) Forefront Client Security Pare-feu Windows BitLocker + Trusted Platform Module (TPM)

Protéger les utilisateur et l’infrastructure 3/30/2017 12:58 AM Protéger les utilisateur et l’infrastructure AppLockerTM Internet Explorer 8 Récupération des données Permet la standardisation des applications au sein de l’entreprise sans augmenter le TCO Améliore la sécurité pour protéger contre les pertes de données et de vie privée Supporte la mise en vigueur de la conformité Protège les utilisateurs contre l’ingénierie sociale et les attaques de la vie privés Protèges les utilisateurs contre les exploits navigateurs Protège les utilisateurs contre les exploits serveur Sauvegarde et restauration de fichiers Sauvegarde image CompletePC™ Restauration système Copies miroirs de volumes Retour en arrière sur volume © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Application Locker Élimination des applications inconnues/indésirables du réseau Renforce la standardisation des applications dans toute l'entreprise Création et administration simples de règles via la stratégie de groupe

Demonstration

Protéger des données des utilisateurs non autorisés RMS EFS Bitlocker

+ Bitlocker Vista Cryptage d’un volume Vista SP1 Cryptage de plusieurs volumes Seven Cryptage de supports amovibles « BitLocker to Go » + Protection des données sur les disques internes et amovibles Obligation du chiffrement via les stratégies de groupe Stockage des informations de récupération dans Active Directory Simplification de la mise en œuvre de BitLocker et de la configuration du disque dur principal

Demonstration

Gestion du Poste de Travail Intégration avec Windows Server 2008 Le PowerShell Journaux PSR – Enregistrement d’Actions Utilisateurs

Intégration avec Windows Server 2008 Demonstration

Le PowerShell Demonstration

Les Outils de Diagnostic Demonstration

Le Support Demonstration